交换机的ACL配置练习( 二 )


ACL Status:Enable // ACL状态 答应;
Standard IP access list: //IP 访问列表;
GroupId 1 deny srcIp 192.168.3.0 any Active //禁止192.168.3.0 的网络访问;
GroupId 2 permit any any Active //答应其它网络访问 。
若要取消已建立的访问控制列表,可用如下命令格式:
Switch# no access-list access-list-number
例:取消访问列表1:
Switch# no access-list 1
基于以上的ACL多种不同的设置方法,我们实现了对网络安全的一般控制方法,使三层交换机作为网络通信出入口的重要控制点,发挥其应有的作用 。而正确地配置ACL访问控制列表实质将部分起到防火墙的作用,非凡对于来自内部网络的攻击防范上有着外部专用防火墙所无法实现的功能,可大大提升局域网的安全性能 。

新手入门
ACL是应用到交换机接口的指令列表,这些指令列表用来告诉交换机哪些数据包可以接收,哪些数据包要拒绝 。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来决定 。它主要有三个方面的功能:
◆ 限制网络流量、提高网络性能 。例如:ACL可以根据数据包的协议,指定这种类型的数据包的优先级,同等情况下可与先被交换机处理 。
◆ 提供网络访问的基本安全手段 。例如,ACL答应某一主机访问您的资源,而禁止另一主机访问同样的资源 。
◆ 在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞 。例如,答应网络的E-mail被通过,而阻止FTP通信 。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段 。ACL的访问规则主要用三种:
◆ 标准访问控制列表,可限制某些IP的访问流量 。
◆ 扩展访问控制列表,可控制某方面应用的访问 。
◆ 基于端口和VLAN的访问控制列表,可对交换机的具体对应端口或整个VLAN进行访问控制 。

推荐阅读